Mit der steigenden Vernetzung der Verkehrssysteme erhält die Sicherheit im Schienenverkehr eine zusätzliche Dimension. Knorr-Bremse entwickelt digitale Lösungen für die neuen Herausforderungen im Cyberspace.
Der Originaltext wurde erstmals als Gastbeitrag in der Zeitschrift „Der Nahverkehr“ (Ausgabe 12/2021) veröffentlicht.
Ein Firmware-Update, das in Wirklichkeit gar keines war, ebnete den beiden Sicherheitsexperten über die Internetverbindung des Entertainmentsystems den Weg zum CAN-Bus. Von dort aus konnten sie alle elektronisch kontrollierten Fahrzeugkomponenten via Handynetz steuern – den Jeep Grand Cherokee zum Beispiel mitten auf der Autobahn eine Vollbremsung machen lassen. Die Aktion aus dem Jahr 2015 war ein Weckruf für die Mobilitätsbranche. Sie zeigte, dass es nicht nur theoretisch, sondern auch in der Praxis möglich ist, Fahrzeuge elektronisch anzugreifen. Das gilt auch für Schienenfahrzeuge.
Der Vernetzungsgrad von Schienenfahrzeugen ist gerade in den vergangenen Jahren enorm gestiegen. Flottenbetreiber setzen auf Digitalisierung, um attraktive und intelligente Transportlösungen anzubieten. Zustandsbasierte Wartung, etwa von Zugtüren, gehört ebenso dazu wie (Fahrer-)Assistenzsysteme, die künftig einen automatisierten Zugbetrieb (ATO) ermöglichen sollen. Eingebettet in digitale Geschäftsmodelle sind die Fahrzeuge inklusive ihrer Subsysteme schon heute Computer auf Rädern. Die Kommunikation läuft über das Ethernet, die Daten sind in der Cloud. Damit einher gehen eine steigende Vernetzung und permanente Online-Verbindung von Flotten, die bislang offline betrieben wurden.
Das konkrete Bedrohungsszenario: Hacker könnten mit Cyberattacken aus der Ferne versuchen, ganze Flotten lahmzulegen. Der ökonomische Schaden durch Folgekosten wie Produktionsausfälle aufgrund verspätet gelieferter Waren, Zugausfälle und aufwändiger Wiederinstandsetzung wäre hoch. Umso verwunderlicher, dass häufig noch Standardtechnologie zum Einsatz kommt. Dabei reicht ein Schutz nur an den Außengrenzen von Netzwerken, siehe Einstiegsbeispiel, längst nicht mehr aus. Vielmehr ist eine Cybersecurity-Architektur nötig, die jede Systemkomponente einschließt. Bedeutet: Cybersecurity ist zur strategischen Disziplin geworden.
Ihre Fäden laufen bei Knorr-Bremse in einem dezidierten Kompetenzzentrum für Cybersicherheit zusammen, organisatorisch eingegliedert bei der Konzerntochter Selectron in der Schweiz. Die Knorr-Bremse Gesellschaft entwickelt und produziert allen voran Train Control & Management Systeme (TCMS). Sie zeichnen für die Leittechnik verantwortlich und steuern vom Brems- über das Klima- bis zum Einstiegsystemen zahlreiche Fahrzeugsubsysteme an.
Der entscheidende Begriff der Cybersecurity-Strategie lautet: Product Cybersecurity Architecture. Er bezeichnet eine neue Cybersecurity-Architektur, die jedes Subsystem von Knorr-Bremse mit seinen Komponenten einschließt. Die 62443-Normenreihe der Internationalen Elektrotechnischen Kommission (IEC) und die im Mai 2021 verabschiedete Technische Spezifikation TS 50701 schaffen dabei eine solide Basis für ein integriertes sogenanntes Defense-in-Depth-Konzept: Die Kombination von sich ergänzenden Schutzmaßnahmen unter der Prämisse, dass jede für sich allein betrachtet geknackt werden könnte – aber sie im Zusammenspiel den bestmöglichen Schutz bieten.
Dazu gehört etwa die Threat Detection Solution (TDS), ein innovatives Erkennungs- und Abwehrkonzept gegen Übergriffe durch Hacker. Es transferiert die Logik der Systeme zur Erkennung von Angriffen (Intrusion-Detection-Systeme, IDS) aus der IT- und der Automotive-Branche in die Welt der Schienenfahrzeuge. Einem Frühwarnsystem gleich erkennt die Lösung Anomalien im Datenverkehr lange bevor Kriminelle Schaden anrichten können und meldet diese an das Sicherheitszentrum bei Selectron (Rail Security Operations Center). Sicherheitschips prüfen nach Trusted-Platform-Modules-Standard (TPM 2.0) die Identität und Integrität von Steuerungssoftware anhand einer Art Fingerabdruck. Fest in die Hardware des lokalen Rechners verbaut, erkennen sie Fälschungen oder Manipulationen sofort.
In Zukunft erhalten neue Geräte zudem eine Art digitale, fälschungssichere Identitätskarte in Form eines Sicherheitszertifikats. Zur Zertifikatsverwaltung hat Knorr-Bremse eine eigene Infrastruktur aufgebaut – die Public Key Infrastructure (PKI). Dieser cloudbasierte Service automatisiert die sichere Verwaltung der Zertifikate. Der Service ist seit Anfang 2021 in Betrieb und wird derzeit für die fälschungssichere digitale Unterschrift der Software und die Entwicklung des sicheren Aufstartens der Geräte genutzt.
Ein Schutz nur an den Außengrenzen von Netzwerken reicht längst nicht mehr aus. Vielmehr ist eine neue Cybersecurity-Architektur nötig, die jede Systemkomponente einschließt.
Paolo Fanuli – Leiter des Kompetenzzentrums für Cybersecurity bei Selectron, einer Tochtergesellschaft der Knorr-Bremse AG
Dabei ist vor allem gute Koordination gefragt: Es liegt auf der Hand, dass derartige Maßnahmen mit den Entwicklungsabteilungen früh einzuplanen sind – die digitale Zukunft der Bahn stets im Blick. An dieser Stelle schließt sich der Kreis zur Product Cybersecurity Architecture. Immerhin sollen die Maßnahmen den gesamten Lebenszyklus des Produkts abdecken, der bei Schienenfahrzeugen mehrere Jahrzehnte lang sein kann. Zertifizierte und in jedem einzelnen Land homologisierte Fahrzeuge nachzurüsten, ist nahezu unmöglich.
Der schnelle Fortschritt in Sachen Cybersecurity im Schienenverkehr ist nicht nur aufgrund der gestiegenen Bedrohungslage nötig. Auch die Politik reagiert. Die EU-Direktive NIS (Network and Information Safety Directive) ist als Teil der EU-Cybersecurity-Strategie bereits ratifiziert. Nun liegt der Ball bei den EU-Mitgliedern, um die Direktive in nationale IT-Sicherheitsgesetze umzusetzen. Und in den nächsten Jahren werden verbindliche IT-Sicherheitsrichtlinien (E50/E155-Standards) für die Homologation von Zügen in Kraft treten.
Wie so oft gilt: Fahrzeugbauer wie -betreiber sowie Systemhersteller müssen an einem Strang ziehen. Das ist aufwendig und bisweilen herausfordernd. Aber die Potenziale für die Automatisierung und Digitalisierung der Branche sind enorm. Und gewiss eine wichtige Voraussetzung für den „Shift“ – die Verkehrsverlagerung – von der Straße auf die Schiene.
Mit der umfassenden Automatisierung und Digitalisierung verschärft sich nicht nur die Bedrohungslage von Cybersecurity-Attacken auf den Schienenverkehr. Gleichzeitig verschärft auch die Politik die gesetzlichen Anforderungen. Knorr-Bremse prägt den Trend zu noch mehr Sicherheit im digitalen Raum – und hat Cybersecurity zur strategischen Disziplin aufgewertet. Ein dezidiertes Kompetenzzentrum Cybersicherheit rollt das integrierte Defense-in-Depth-Konzept entlang der gesamten Produkt- und Systempalette aus: eine Kombination von sich ergänzenden Schutzmaßnahmen vom Frühwarnsystem über Sicherheitschips zu cloudbasierten Public Key Infrastructures, die im Zusammenspiel den bestmöglichen Schutz bieten – und dabei den gesamten Lebenszyklus eines Schienenfahrzeugs im Blick haben, um eine weitere Voraussetzung für die modalen Shifts von der Straße auf die Schiene und die Zukunft des sicheren Bahnverkehrs zu schaffen.